Ang WPA3 ay pinagtibay na, at mula noong Hulyo 2020 ay ipinag-uutos para sa mga device na sumasailalim sa sertipikasyon sa WiFi-Alliance; ang WPA2 ay hindi nakansela at hindi na pupunta. Kasabay nito, ang parehong WPA2 at WPA3 ay nagbibigay ng operasyon sa mga mode ng PSK at Enterprise, ngunit ipinapanukala naming isaalang-alang sa aming artikulo ang teknolohiya ng Pribadong PSK, pati na rin ang mga pakinabang na maaaring makamit sa tulong nito.
Ang mga problema sa WPA2-Personal ay kilala sa mahabang panahon at, sa karamihan, ay naayos na (Priority Management Frames, mga pag-aayos para sa KRACK vulnerability, atbp.). Ang pangunahing natitirang kawalan ng WPA2 gamit ang PSK ay ang mahinang password ay medyo madaling ma-crack gamit ang isang pag-atake sa diksyunaryo. Kung ang password ay nakompromiso at ang password ay pinalitan ng bago, kakailanganing muling i-configure ang lahat ng konektadong device (at mga access point), na maaaring maging isang napakahirap na proseso (upang malutas ang problema sa "mahina na password", WiFi -Inirerekomenda ng Alliance ang paggamit ng mga password na hindi bababa sa 20 character ang haba).
Ang isa pang isyu na kung minsan ay hindi malulutas gamit ang WPA2-Personal ay ang pagtatalaga ng iba't ibang mga profile (vlan, QoS, firewall...) sa mga pangkat ng mga device na konektado sa parehong SSID.
Sa tulong ng WPA2-Enterprise posible na malutas ang lahat ng mga problema na inilarawan sa itaas, ngunit ang presyo para dito ay:
- Ang pangangailangang magkaroon o mag-deploy ng PKI (Public Key Infrastructure) at mga sertipiko ng seguridad;
- Maaaring mahirap ang pag-install;
- Maaaring may mga kahirapan sa pag-troubleshoot;
- Hindi isang pinakamainam na solusyon para sa mga IoT device o pag-access ng bisita.
Ang isang mas radikal na solusyon sa mga problema ng WPA2-Personal ay ang paglipat sa WPA3, ang pangunahing pagpapabuti nito ay ang paggamit ng SAE (Simultaneous Authentication of Equals) at static na PSK. Nalulutas ng WPA3-Personal ang problema sa "pag-atake sa diksyunaryo", ngunit hindi nagbibigay ng natatanging pagkakakilanlan sa panahon ng pagpapatunay at, nang naaayon, ang kakayahang magtalaga ng mga profile (dahil ang isang karaniwang static na password ay ginagamit pa rin).
Mahalaga ring isaalang-alang na higit sa 95% ng mga kasalukuyang kliyente ang kasalukuyang hindi sumusuporta sa WPA3 at SAE, habang ang WPA2 ay patuloy na matagumpay na gumagana sa bilyun-bilyong device na nailabas na.
Upang makakuha ng solusyon sa mga umiiral o potensyal na problema na inilarawan sa itaas, binuo ng Extreme Networks ang teknolohiyang Private Pre-Shared Key (PPSK). Ang PPSK ay katugma sa anumang Wi-Fi client na sumusuporta sa WPA2-PSK, at nagbibigay-daan sa iyong makamit ang isang antas ng seguridad na maihahambing sa nakamit sa WPA2-Enterprise, nang hindi kinakailangang bumuo ng 802.1X/EAP na imprastraktura. Ang pribadong PSK ay mahalagang WPA2-PSK, ngunit ang bawat user (o grupo ng mga user) ay maaaring magkaroon ng kanilang sariling dynamic na nabuong password. Ang pamamahala sa PPSK ay hindi naiiba sa pamamahala ng PSK dahil ang buong proseso ay awtomatiko. Ang pangunahing database ay maaaring maiimbak nang lokal sa mga access point o sa cloud.
Ang mga password ay maaaring awtomatikong mabuo; ito ay posible na flexible na itakda ang kanilang haba/lakas, panahon o petsa ng pag-expire, at paraan ng paghahatid sa user (sa pamamagitan ng email o SMS):
Maaari mo ring i-configure ang maximum na bilang ng mga kliyente na maaaring kumonekta gamit ang isang PPSK o kahit na i-configure ang "MAC-binding" para sa mga konektadong device. Sa utos ng administrator ng network, ang anumang susi ay madaling mabawi, at ang pag-access sa network ay tatanggihan nang hindi kailangang muling i-configure ang lahat ng iba pang mga device. Kung nakakonekta ang kliyente kapag binawi ang susi, awtomatikong ididiskonekta ito ng access point sa network.
Kabilang sa mga pangunahing bentahe ng PPSK tandaan namin:
- kadalian ng paggamit na may mataas na antas ng seguridad;
- ang pagtataboy sa isang pag-atake sa diksyunaryo ay nireresolba gamit ang mahaba at malalakas na password, na awtomatikong mabubuo at maipamahagi ng ExtremeCloudIQ;
- ang kakayahang magtalaga ng iba't ibang mga profile ng seguridad sa iba't ibang mga aparato na konektado sa parehong SSID;
- Mahusay para sa secure na pag-access ng bisita;
- Mahusay para sa secure na pag-access kapag hindi sinusuportahan ng mga device ang 802.1X/EAP (mga handheld scanner o IoT/VoWiFi device);
- matagumpay na paggamit at pagpapabuti ng higit sa 10 taon.
Anumang mga katanungan na lumabas o nananatili ay maaaring palaging itanong sa aming mga kawani ng opisina - .
Pinagmulan: www.habr.com